Cari lettori di Tecnogalaxy, oggi riprenderemo l’argomento Phishing. Andremo a vedere un’altra tecnica utilizzata da un malintenzionato per rubare le nostre credenziali, che siano di Facebook, di Instagram, di Google, di Outlook o della banca, questa volta senza utilizzare il nostro caro amico Kali Linux.

Tecnica utilizzata per Phishing

La tecnica che utilizza un malintenzionato è quasi sempre la stessa, nel senso…Chi la fa da padrona è sempre l’ingegneria sociale. Più sarà spinta questa tecnica maggiore sarà la percentuale di successo dell’attacco (prendere le credenziali UserId e Password del malcapitato).

Di solito un malintenzionato effettua un’analisi preliminare per disegnare il suo campo di caccia prima di sferrare l’attacco.

Dopo aver disegnato una sorta di piantina passa alla parte tecnica (come costruire la pagina di fake login), supponiamo che il malintenzionato voglia prendere le credenziali di accesso di Facebook di una persona, inizierà con il clonare e modificare la pagina originale (in questo caso di Facebook), poi creerà un file .php dove verranno salvate le credenziali dei malcapitati.

Una volta clonata la pagina di login, aprirà la pagina con notepad e farà la modifica al codice.

Tecnica per Phishing Fake Login

Adesso passerà alla creazione del file .php, aprirà un notepad e scriverà all’interno le istruzioni per gestire il phishing.

Terminata la parte php, il malintenzionato creerà un file txt vuoto chiamandolo (login.txt),in questo file verranno registrate tutte le credenziali inserite dalle vittime. Pazzesco se ci pensate!!!

Adesso arriva la parte più importante, il malintenzionato deve decidere dove mettere questi file per poterli utilizzare nel suo attacco. Come prima cosa farà l’upload dei files su un server non suo che molto probabilmente avrà violato e che utilizzerà per il suo scopo. Se il malintenzionato dovesse mettere questi file “ad esempio su Altervista”, con una registrazione free non reale, i file rimarrebbero online per circa qualche ora, questo perché gli algoritmi di Altervista si accorgerebbero che trattasi di file di Phishing e il sito non sarebbe più raggiungibile.

Trovato il server dove effettuare l’upload dei files, il malintenzionato passa alla fase di Phishing tramite e-mail o tramite sms, come detto in precedenza a questo punto entra in gioco l’ingegneria sociale, più sarà dettagliata più il risultato avrà una percentuale di successo elevata.

Passa all’attacco

Una volta scritta la strategia il malintenzionato fa partire l’attacco e attende che le vittime abbocchino alla sua rete. Le e-mail di phishing devono essere consegnate agli obiettivi prestabiliti durante l’analisi. Il malintenzionato ha diversi modi per farlo, creare semplicemente un nuovo account di posta elettronica come ad esempio Gmail e inviare il messaggio, oppure utilizzare metodi più complessi, come acquistando nomi di domini non registrati che però sembrano simili a un dominio reale.

Modificando leggermente l’ortografia con un nome che non sia ovvio, ad esempio scrivere banco mettendo lo zero diventa banc0. Fatto questo inizia la campagna di phishing inviando mail utilizzando proprio il dominio simile a quello reale nella speranza che gli utenti, o nella solita frenesia, o perchè non conoscono queste tecniche, non notino la sottile differenza. Un malintenzionato potrebbe utilizzare un account reale, (dopo averlo compromesso), per inviare messaggi truffa. Chiamato in gergo (come Business Email Compromise (BEC)), questo significa che anche l’indirizzo mail di un collega ad esempio potrebbe essere utilizzato da un malintenzionato per fare phishing.

Cosa succede nel dettaglio?

Il malcapitato riceve una mail o un sms personalizzati identici a quelli originali con scritto ad esempio che per motivi di sicurezza deve confermare le credenziali UserId e Password, invitandolo a cliccare su un link per visualizzare il contenuto ed inserire le credenziali per effettuare la conferma dei dati.

Se il Phishing è fatto da un professionista la pagina di login sarà identica, e probabilmente anche l’url quasi uguale a quello originale.

Tecnica per Phishing Fake Login

Recupero informazioni tramite Phishing

Il malintenzionato dopo aver lanciato l’attacco attenderà qualche ora, poi scaricherà il file login.txt per visualizzare il contenuto e utilizzare le credenziali rubate.

Come facciamo a fermare gli attacchi di Phishing?

Anche se una mail di phishing ha raggiunto la tua casella di posta, puoi comunque intraprendere un’azione mirata prima di fare clic su un link o aprire un allegato, prima che si scateni il tutto. Il sapere cosa cercare e subito dopo cosa fare, in caso di una mail sospetta diventa molto importante. Vediamo qualche suggerimento per ridurre il rischio appunto di phishing.

Educare gli utenti

Spiegare agli utenti le tecniche utilizzate dai malintenzionati e fare con loro test realistici, tutto questo porta ad una crescita personale dell’utente ma anche dell’azienda stessa, alzando l’asticella della sicurezza ad un livello molto alto. Essendo una vera simulazione consente agli utenti di commettere errori e nello stesso tempo imparare da essi (tanto la posta in gioco essendo una simulazione è bassa). In questo modo vengono preparati a gestire le minacce reali (nella realtà la posta in gioco è alta).

Come segnalare le mail di phishing?

In caso di ricevimento di una mail strana, ad esempio dalla propria banca dove vi vengono chieste le credenziali di accesso, contattare subito telefonicamente la propria banca per chiedere chiarimenti.

Modifica subito le password e avvia subito una scansione dell’antivirus sul proprio pc/device.

Cambiamento culturale

Come in tutti i campi la conoscenza è il passato, il presente e il futuro. Per sapere come difendersi devi sapere come si attacca, bisogna cambiare il modo di pensare.

Nel prossimo articolo vedremo quali toll/portali utilizzerà un malintenzionato per inviare mail e sms fasulli per portare a termine un attacco di Phishing.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo.

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.